LECCIN 1

SER UN HACKER
Leccin 1: Ser un Hacker

WARNING

The Hacker Highschool Project is a learning tool and as with any learning tool there
are dangers. Some lessons, if abused, may result in physical injury. Some additional
dangers may also exist where there is not enough research on possible effects of
emanations from particular technologies. Students using these lessons should be
supervised yet encouraged to learn, try, and do. However ISECOM cannot accept
responsibility for how any information herein is abused.
The following lessons and workbooks are open and publicly available under the following
terms and conditions of ISECOM:
All works in the Hacker Highschool Project are provided for non-commercial use with
elementary school students, junior Highschool students, and Highschool students whether
in a public institution, private institution, or a part of home-schooling. These materials may
not be reproduced for sale in any form. The provision of any class, course, training, or
camp with these materials for which a fee is charged is expressly forbidden without a
license, including college classes, university classes, trade-school classes, summer or
computer camps, and similar. To purchase a license, visit the LICENSE section of the HHS
web page at http://www.hackerhighschool.org/licensing.html.
The Hacker Highschool Project Project is an open community effort and if you find value in
this project, we ask that you support us through the purchase of a license, a donation, or
sponsorship.

AVISO
El proyecto Hacker Highschool es una herramienta de aprendizaje, y como tal
existen riesgos. El mal uso de algunas lecciones puede terminar en dao fsico. Existen
riesgos adicionales ya que no existen estudios suficientes sobre los posibles efectos de las
emisiones en algunas tecnologas. Los estudiantes que sigan estas lecciones deberan ser
supervisados y motivados a aprenderlas, probarlas y utilizarlas. No obstante, ISECOM no
acepta responsabilidad alguna por el mal uso de la informacin presentada.
Las siguientes lecciones y cuadernos de trabajo son abiertos y accesibles al pblico bajo
los siguientes trminos y condiciones de ISECOM:
Todas las obras del proyecto Hacker Highschool se proporcionan para su uso no
comercial con estudiantes de escuelas primarias, secundaria y bachillerato ya sea en
centros pblicos, instituciones privada, o educacin en casa. Este material no puede ser
reproducido para su venta bajo ningn concepto. Impartir cualquier clase, formacin o
actividad con estos materiales cobrando por ello est expresamente prohibido sin la
adquisicin de una licencia, incluyendo cursos en escuelas, clases universitarias, cursos
comerciales, cursos de verano, campamentos de informtica, y similares. Para adquirir
una licencia, visite la seccin LICENCIA en la pgina web de Hacker Highschool en
www.hackerhighschool.org/licensing.html.
El proyecto HHS es resultado del esfuerzo de una comunidad abierta. Si encuentra til
este proyecto, le pedimos que nos apoye mediante la compra de una licencia, una
donacin o patrocinio.

2
Leccin 1: Ser un Hacker

Table of Contents
For the Love of Hacking............................................................................................................................5

Por qu ser un hacker?...........................................................................................................................7

Cmo hackear...........................................................................................................................................9
Dos formas de obtener lo que quieres..............................................................................................9
Alimenta tu mente: Espionaje...............................................................................................................10
Hackear para tomar control de tu mundo.....................................................................................11
El proceso de cuatro puntos.................................................................................................................12
El proceso Eco (Echo).........................................................................................................................13
Qu hackear............................................................................................................................................14
Enriquece tu mente: Clases y Canales................................................................................................14
Enriquece tu mente: Porosidad.............................................................................................................17
Recursos....................................................................................................................................................18
Libros......................................................................................................................................................18
Revistas y Peridicos...........................................................................................................................19
Enriquece tu mente: Especulacin......................................................................................................21
Motores de bsqueda........................................................................................................................22
Pginas web y Aplicaciones web....................................................................................................23
Zines.......................................................................................................................................................24
Blogs......................................................................................................................................................25
Foros y Listas de correo.......................................................................................................................25
Grupos de noticias..............................................................................................................................26
Wikis.......................................................................................................................................................27
Redes sociales.....................................................................................................................................27
Chat......................................................................................................................................................28
P2P.........................................................................................................................................................29
Certificaciones.....................................................................................................................................29
Seminarios y jornadas.........................................................................................................................30
Lecturas adicionales ..............................................................................................................................31

3
Leccin 1: Ser un Hacker

Contributors

Pete Herzog, ISECOM

Glenn Norman, ISECOM
Marta Barcel, ISECOM
Chuck Truett, ISECOM
Kim Truett, ISECOM
Marco Ivaldi, ISECOM
Shaun Copplestone, ISECOM
Greg Playle, ISECOM
Jeff Cleveland, ISECOM
Simone Onofri, ISECOM
Tom Thomas, ISECOM
Alfonso Arjona, @alfonsoarjona.net
Adrian Crespo, madrid.crespo@gmail.com

4
Leccin 1: Ser un Hacker

For the Love of Hacking

Introduccin de Pete Herzog
A pesar de lo que hayas podido escuchar sobre los hackers, lo cierto es que hacen algo
muy, muy bien: investigar. Los hackers estn motivados, son ingeniosos y creativos.
Analizan a fondo el funcionamiento de las cosas, hasta el extremo de saber cmo
tomar el control de ellas y transformarlas en algo diferente. Esto les permite redisear las
grandes ideas porque llegan a conocer en profundidad su funcionamiento. Adems no
tienen miedo de cometer el mismo error dos veces, por una especie de curiosidad
cientfica, para ver si este error siempre devuelve los mismos resultados. Por esta razn,
los hackers no ven el fracaso como un error o una prdida de tiempo, ya que cada error
significa algo, y es algo nuevo que aprender. Estas son las caractersticas que necesita
cualquier sociedad para progresar.

Muchas personas que han sido

llamados hackers, especialmente por
los medios de comunicacin, o que se
han metido en problemas por
hackear no son, de hecho, hackers.

Un hacker es una especie de cientfico experimental prctico, aunque a veces el

trmino cientfico loco encaja mejor dado que, a diferencia de los cientficos
profesionales, se concentran en algo siguiendo una intuicin en lugar de una hiptesis
formal. Eso no es necesariamente algo malo. Muchas cosas interesantes se han
descubierto o inventado por personas que no siguieron las convenciones aceptadas
sobre lo que se conoca o se crea cierto en ese momento.
El matemtico Georg Cantor, propuso nuevas ideas acerca del infinito y la teora de
conjuntos que indignaron a mucho de sus colegas matemticos, hasta el extremo que
uno de ellos defini sus ideas como una grave infeccin para las matemticas.
Nikola Tesla es otra persona considerada como un cientfico loco en su poca, pero
saba ms acerca del comportamiento de la electricidad que cualquier otro. Dise el
que fuera, posiblemente, el primer motor sin escobillas que funcionaba con corriente
alterna, aunque es ms conocido por el Efecto Tesla y las Bobinas Tesla.
Tambin est Ignaz Philipp Semmelweis, quien descubri que los mdicos necesitaban
lavarse las manos antes de tratar a su siguiente paciente para evitar la propagacin de
enfermedades. Se pregunt si las enfermedades que perseguan a sus pacientes tras sus
visitas eran por su culpa, as que decidi probar a lavarse las manos entre consultas, y
por supuesto la transmisin desapareci. Sus ideas iban en contra tanto de las
convenciones cientficas sobre lo que era conocido en su tiempo acerca de los
grmenes (nada), como de la comodidad de los doctores que sentan que era
demasiado problema estar lavndose las manos continuamente.
Puedes pensar que lo que sabes acerca de los hackers es que entran en los
ordenadores de otros y toman el control de las cuentas de otras personas. Pueden leer
tu correo sin que lo sepas. Pueden observarte a travs de tu webcam sin tu permiso y
verte y orte en la supuesta intimidad de tu hogar. No es mentira.

5
Leccin 1: Ser un Hacker

Algunos hackers ven la seguridad de las redes simplemente como otro reto, as que
trabajan con formas de engaar al sistema, pero lo que intentan hacer en realidad es
pensar como si fueran los instaladores de la red o su diseador. Averiguan tanto de la
red como pueden: de dnde toma sus instrucciones, las reglas que usa, cmo
interaccionan con el sistema operativo y con otros sistemas a su alrededor, qu usuarios
tienen acceso a ella y sobre los administradores que la gestionan. Entonces usan esa
informacin para probar diversas maneras de obtener lo que quieren. Este tipo de
hacking puede ser muy beneficioso para el mundo, ya que permite aprender cmo
estar ms seguro e incluso desarrollar una tecnologa mejor.
Desafortunadamente, algunas veces el hacking se lleva a cabo por criminales, y lo que
hacen es ilegal, invasivo y destructivo. Y son estos sobre los que habitualmente lees en
las noticias.
Un hacker no es alguien que publica en la cuenta de otro que se ha dejado su pgina
de una red social abierta, o espa por encima del hombro las contraseas para
conectarse a la cuenta ms tarde. Eso no es hacking. Un hacker tampoco es alguien de
descarga una herramienta para script kiddies con objeto de entrar en el correo de
otras personas. Esos no son hackers: son ladrones y delincuentes.

El Hacking es investigar. Has intentado alguna vez hacer algo una y otra vez de
diferentes maneras hasta obtener lo que queras? Has abierto alguna vez un
aparato o dispositivo para ver cmo funciona, investigar cules son sus
componentes, y ajustarlos de forma que lo haga de forma distinta? Eso es hacking.
Ests hackeando cuando examinas detenidamente cmo funciona algo con el fin
de manipularlo de forma creativa y conseguir que haga lo que t quieres.

Lo que ocurre es que en la forma en que est diseado Internet, y la gran cantidad de
aplicaciones, sistemas, dispositivos y procesos que existen en ella, es el lugar ms
habitual para encontrar hackers. Se podra decir que fue construido por hackers, as que
es su mejor patio de recreo. Pero no es el nico sitio. Puedes encontrar grandes hackers
en prcticamente cualquier campo o industria, y todos tienen una cosa en comn:
dedican tiempo a aprender cmo funcionan las cosas, por lo que pueden hacer que
funcionen de una forma nueva. No miran a algo como lo hacen sus diseadores
originales, sino como algo con mayor o mejor potencial para ello, y lo hackean para
convertirlo en algo nuevo.

No pienses que puedes ser un gran hacker. Slo si haces grandes hacks con mucha
humildad puedes ser grande.

El hacking per se no es ilegal. O por lo menos no ms ilegal que tirar una piedra. Todo
depende de las intenciones. Si tiras una piedra y tu intencin es herir a alguien, es un
delito. Si no intentas herir a nadie, pero alguien se hace dao, puede que no sea un
delito, pero eres responsable de tus acciones y tendrs que pagar una indemnizacin.
Un proyecto de ISECOM llamado Hacker Profiling Project encontr que la mayora de los
daos provocados por el hacking se deben a hackers jvenes e inexpertos que daan
la propiedad ajena accidentalmente. Sera algo parecido a tirar piedras en la calle por

6
Leccin 1: Ser un Hacker

diversin, pero abollando coches y rompiendo ventanas en el proceso. Puede que el

dao no sea intencionado, pero puedes estar seguro de que sers declarado culpable
y tendrs que pagar por ello. As que ten cuidado cuando hackees cerca de la
propiedad de otros. Es mejor que hackees tus propias pertenencias.
Puede ser ilegal hackear algo que compraste y te pertenece. Hay hackers que han sido
condenados por hackear sus propios dispositivos y ordenadores. Otros hackearon
programas, msica y pelculas que compraron, y fueron perseguidos por ello. Para ser
ms exactos, puede que no ests autorizado a hackear software que has adquirido,
incluso si slo lo haces para comprobar que es suficientemente seguro para ejecutarse
en tu ordenador. Esto es debido a que muchas de las cosas que compras pueden venir
con un contrato o End User License Agreement (EULA) que dice que no puedes. Y te
comprometes a ello cuando abres o instalas el producto, incluso si no puedes leerlo
hasta que hayas abierto o instalado el producto. Ten esto en cuenta cuando practiques
tus habilidades de hacking en la privacidad de tu hogar sobre las cosas que hayas
comprado.

Por qu ser un hacker?

Piensa en los cientficos que hicieron el mapa del genoma humano: usaron un
mtodo desarrollado para decodificar contraseas. Las contraseas se almacenan
habitualmente encriptadas, para que sean difciles de robar. La tcnica
Hierarchical shotgun brute-forcing es una forma de desencriptar contraseas
crackeando su encriptacin: se rompe el hash encriptado de la contrasea, se
descifran unos pocos caracteres en cada paso, y luego se une todo de nuevo. Los
investigadores del genoma adaptaron la misma tcnica para cartografiar los 3.300
millones de pares del genoma humano.

El hacking apareci en la cocina cuando los chefs empezaron a usar nitrgeno lquido
como agente congelante para hacer el helado perfecto, o cuando hackean la comida
para hacer chips de tomate con salsa de patata en lugar de ketchup, o simplemente
cuando necesitaban hacer algo para lo que no tenan las herramientas adecuadas...
Los qumicos han estado hackeando elementos y compuestos durante siglos. Por
naturaleza, las molculas son tan selectivas en su comportamiento en diferentes
ambientes (calor, frio, en las montaas o en las profundidades del ocano) que los
qumicos necesitan comprender en profundidad las propiedades de las sustancias que
emplean, para poder hackearlas y convertirlas en las que necesitan. En ningn otro lugar
esto resulta ms evidente que en la creacin de nuevos productos farmacuticos, donde
cientos de plantas de una regin se estudian por sus propiedades qumicas, de la raz a
los frutos, se extraen los compuestos y se combinan con otros para obtener nuevos
medicamentos. Luego lo intentan una y otra vez, a veces durante aos, hasta obtener la
combinacin correcta y conseguir que hagan lo que ellos quieren.
El hacking se utiliza en los negocios para entender un mercado o los hbitos de compra
de ciertos tipos de consumidores. Investigan a fondo las fuerzas que impulsan el rea de
negocios de su inters, y luego intentan cambiarlas o influir en ellas para que hagan lo
que ellos quieren. A veces hackean el producto, y otras te hackean a ti (con la
publicidad y el priming, algo con lo que trabajars en la leccin de Ingeniera Social).

7
Leccin 1: Ser un Hacker

El hacking tambin se ha convertido en una parte cada vez ms importante en las

guerras. Hay soldados altamente preparados que son ingeniosos y creativos cumpliendo
con sus objetivos, que es justo lo que hacen los hackers. Los criptgrafos, analistas de
inteligencia y agentes de campo emplean lo que son bsicamente habilidades de
hacking para averiguar qu tiene el enemigo, lo que est haciendo y cmo tomar
ventaja de cualquier debilidad en su equipamiento. A medida que ms pases
dependen de los ordenadores y las redes, el uso del hacking para ataques cibernticos y
oara la defensa se ha convertido en una parte muy importante para las Fuerzas Armadas
y las operaciones de inteligencia de una nacin. Los organismos nacionales e
internacionales de seguridad acuden incluso a convenciones de hackers para
reclutarlos!

La verdadera razn para ser un hacker es porque es algo realmente importante.

Cuando tengas habilidades slidas de hacking, podrs hacer cosas muy
interesantes. Cualquier conocimiento avanzado te proporciona un gran poder. Si
sabes cmo funciona algo hasta el extremo de poder tomar su control, entonces
tienes un serio poder a tu disposicin. Sobre todo, tienes el poder de protegerte y
proteger a tus seres queridos.

La vida de la gente est cada vez ms presente en Internet, como hacer amistades,
encontrar trabajo o ganar dinero. La informacin puede ser muy valiosa (o peligrosa) y los
hackers pueden protegerse a s mismos mejor que nadie. Pueden investigar lo que ocurre
con su informacin. Pueden asegurarse de revelar slo lo que ellos desean y, por lo
general, mantenerse ms seguros y con mayor privacidad. Esto es una gran ventaja
competitiva en la escuela, el trabajo y la vida, porque incluso la menor imagen negativa
ser utilizada en tu contra. Puedes estar seguro de eso.

Hackea todo, pero no daes a nadie.

8
Leccin 1: Ser un Hacker

Cmo hackear
Contarte cmo hackear es como explicarte la forma de hacer un salto mortal de
espaldas en una barra fija: no importa lo detallada que sea la explicacin, que no sers
capaz de conseguirlo a la primera. Necesitas desarrollar las habilidades, los sentidos y la
intuicin mediante la prctica o te dars un buen golpe. Pero hay algunas cosas que
podemos contarte para ayudarte, y que te animarn a seguir practicando.
En primer lugar, deberas conocer algunos secretillos sobre cmo funciona el hacking.
Vamos a tomar estos de OSSTMM (www.osstmm.org). Los hackers lo pronuncian ous-
tem. OSSTMM son las siglas de Open Source Security Testing Methodology Manual
(Manual de Metodologa Abierta de Pruebas de Seguridad), y aunque pueda parecerte
el manual de un reproductor de DVD, es el principal documento que utilizan muchos
hackers profesionales para planificar y ejecutar ataques y defensas. Dentro de ese
manual encontrars algunas joyas que te abrirn los ojos.

Dos formas de obtener lo que quieres

Por ejemplo, debes saber que hay dos formas de robar algo: hacerlo por ti mismo, o que
alguien lo haga por ti y te lo entregue. Esto significa que esta accin requiere de la
interaccin entre la persona y el objeto. Obvio cierto? Pero pinsalo un poco ms: eso
significa que todos los mecanismos de proteccin intentarn evitar que alguien
interacte con el objeto que estn protegiendo. A menos que guardes todo bajo llave
en una caja fuerte, no podrs evitar todas las interacciones. Las tiendas necesitan poner
sus artculos en estanteras para que los compradores puedan tocarlas. Las empresas
necesitan enviar informacin usando clientes de correo, que se conectarn a servidores
de correo y la enviarn a otros servidores.
Todo esto son interacciones. Algunas de estas interacciones se dan entre personas y
cosas que son conocidas entre si, por lo que llamamos a estas interacciones Confianzas.
Cuando las interacciones se dan entre personas o sistemas desconocidos, las llamamos
Accesos. Puedes usar un acceso para robar lo que quieres por ti mismo, o puedes
engaar a alguien que sea conocido por el objetivo para que tome lo que quieres y te lo
entregue. Si lo piensas un momento, esto significa que la seguridad significa proteger
algo tanto de alguien desconocido, como de alguien que conoces y en quien confas.

Ejercicios
1.1 Qu tipo de interaccin se da al utilizar un motor de bsquedas? Pinsalo
cuidadosamente: Alguien da acceso? Alguien da confianza?
1.2 Pon un ejemplo sencillo sobre usar Acceso y Confianza para robar una bicicleta
encadenada a un soporte.
1.3 Da un ejemplo sencillo de cmo se puede utilizar Acceso y Confianza para iniciar
sesin en el webmail de otra persona.

9
Leccin 1: Ser un Hacker

Alimenta tu mente: Espionaje

Cuando el hacking se utiliza en contra de un gobierno extranjero para cometer
actos criminales de incursin, allanamiento, robo o destruccin y conseguir
ventajas en informacin poltica o militar, se llama espionaje. Pero cuando el
hacking se hace desde una empresa extranjera contra otra en un pas distinto
para obtener ventajas en los negocios, se llama espionaje econmico.
Cuando el hacking se emplea para obtener informacin personal y privada sobre
alguien con el objetivo acosarlo y humillarlo pblicamente, se denomina DoXing.
Si se busca informacin pblica sobre una persona o una empresa para un
ataque, pero no se cometen delitos para obtenerla, se denomina document
grinding u OSInt (Open Source Intelligence).
Cuando el hacking se emplea para entender el funcionamiento de la red de una
empresa, sus sistemas, aplicaciones y dispositivos para atacarla, pero sin allanar o
entrar en sus sistemas, se le llama network surveying (topografiar la red).
Cuando el hacking se emplea para entender mejor a un competidor sin
quebrantar las leyes (a pesar de que lo que se haga pueda considerarse malo u
ofensivo) se le llama inteligencia competitiva.
Posiblemente te mueras de ganas por saber qu clase de cosas malas u ofensivas
siguen siendo legales. Piensa por ejemplo en infligir estrs o preocupacin a
alguien para obtener informacin. Mientras no le mates, mentirle sigue siendo
legal (aunque hay leyes sobre provocar el pnico en lugares pblicos, como
gritar Fuego! en un cine lleno de espectadores cuando no lo hay).
Imagina que el hacker quiere saber dnde planea instalar una nueva fbrica una
empresa. Utilizar document grinding para encontrar qu personas estn en los
puestos clave para tomar la decisin. Entonces el hacker llamar a sus oficinas
para averiguar qu ciudades han visitado, y posiblemente tambin qu fbricas.
Pero, por supuesto, eso es informacin confidencial de la compaa, y nadie
puede contarlo sin dar seales de aviso. As que el hacker necesita sonsacarles la
informacin. No es difcil imaginarse el proceso:
Hacker: Hola, soy el Doctor Jones; le llamo desde la escuela de su hija Nancy.
Vctima: En serio? Qu ha hecho ahora?
Hacker: Bueno, tiene una hemorragia nasal persistente que no podemos
detener. Me gustara preguntarle si ha estado expuesta a algn producto
qumico, como los que se emplean en las fbricas. Los sntomas que presenta
son raros, excepto en personas que han estado expuestas a este tipo de
productos. Me puede decir algo?
Vctima: (lo cuenta todo)
En muchos sitios, hacer esto no es ilegal, pero causa un estrs innecesario. Por no
mencionar que lo que acaba de hacer ha preocupado a un padre.

10
Leccin 1: Ser un Hacker

Hackear para tomar control de tu mundo

Hacking no consiste slo en interacciones. Lo sabes. Algunas personas dicen que la
poltica es interaccin, Puede ser. Pero posiblemente pensaste que el hacking es romper
la seguridad. A veces lo es. En realidad se trata de tomar el control de algo o cambiarlo.
Comprender las interacciones y su significado en el mundo real, empleando los trminos
bsicos que hemos analizado, es til cuando ests intentado infiltrarte, descubrir o incluso
inventar. Por qu querras hacer esto? Para tener la libertad de conseguir que algo que
posees haga lo que quieres. Y para evitar que otros cambien algo tuyo en nombre de lo
que algunos llamaran seguridad (pero no somos ese tipo de personas).

A veces compras algo y la empresa a la que lo compraste intentar, a la fuerza o

sigilosamente, que no puedas personalizarlo o modificarlo ms all de sus reglas. Y
podemos estar de acuerdo con eso, siempre y cuando aceptes el hecho de que si
lo rompes, entonces no se puedes esperar que te lo reparen o reemplacen. As que
hackear algo de tu propiedad lo hace, sin lugar a dudas, an ms tuyo de manera
irreversible. Algo tan aterrador como le puede sonar a algunos tiene, sin duda, sus
ventajas. Especialmente si necesitas mantener a otros lejos de tus pertenencias.

Para muchas, muchas personas (podramos poner ms veces el adverbio muchas para
indicar que en realidad queremos decir infinitamente muchsimas muchas ms), la
seguridad es colocar un producto en un lugar, en el cual hay una cerradura, alarma,
firewall o cualquier otra cosa que la mantenga segura. Pero en ocasiones estos
productos no funcionan tan bien como deberan, o vienen con sus propios problemas
que incrementan tu Superficie de ataque (Attack Surface), cuando un producto de
seguridad debera reducirla. (La Superficie de ataque son todas las formas y todas la
interacciones que permiten que algo o alguien sea atacado). Y buena suerte cuando
adquieras ese producto mejorado para su comercializacin masiva, y tengas que pagar
peridicamente por su uso y hacer crowd-sourcing; lo compraste tal cual es, y tendrs
que vivir con eso. Por eso hackeas tu seguridad. Necesitas analizarla y averiguar dnde
falla y saber cmo cambiarla para que funcione mejor. Despus, deberas hackearlo un
poco ms para evitar que la compaa a la cual se lo compraste vuelva a ponerlo en su
configuracin por defecto!
As que cuando pienses en el hacking como una forma de romper la seguridad, recuerda
que eso slo es un rea de aplicacin, porque sin la posibilidad de hacerlo, debers
rendirte y entregar parte de tu libertad y privacidad; y eso no es algo que quieras hacer.
(Y puede ser que ahora no te importen ciertas cosas que dices o que envas, pero
Internet tiene una gran memoria que mejora con el tiempo y ayuda a otros a recuperar
esos recuerdos sobre ti. Lo que ocurre en la Red, se queda en la Red. As que piensa en el
futuro, incluso si hoy no te importa).
Ahora que comprendes el concepto de interaccin, vamos a entrar en ms detalles.
Conoces los tipos bsicos de interacciones como Acceso y Confianza, pero Has odo
hablar de la Visibilidad? Es el tercer tipo de interaccin. Es tan potente como los otros
dos. En lenguaje policial, se resume como oportunidad pero en hacking se trata ms de
saber si hay algo sobre lo que interactuar o no. Esta interaccin trae consigo un montn
de nuevas tcnicas de seguridad como el engao, la ilusin, el camuflaje, y todas las
nuevas tcnicas de hacking para evitar y evadir las medidas de seguridad!

11
Leccin 1: Ser un Hacker

Cuando al famoso ladrn de bancos Jesse James se le pregunt por qu robaba

bancos, dijo que porque es ah donde est el dinero. Lo que quera decir es que a travs
de la visibilidad saba qu bancos tenan dinero, adems de otras cosas que poda robar
o no. Los bancos tienen visibilidad: la gente sabe cules son los bienes que poseen. Pero
no todo tiene Visibilidad. Es un hecho que la Privacidad es lo opuesto a la Visibilidad, y es
una forma eficaz de evitar ser un blanco. Ya sea en calles peligrosas, en la jungla, o en
Internet, mantener una baja Exposicin y evitar la visibilidad es una forma de evitar ser
atacado en primer lugar.

Ejercicios
1.4 Internet es conocido por crear mitos y perpetuar historias falsas durante tanto
tiempo que es difcil saber qu informacin es real y cual es un hoax. As que si
quieres ser un buen hacker, adquiere la costumbre de revisar los hechos y
aprender la verdad acerca de las cosas. Por este motivo, vas a buscar si Jesse
James dijo eso realmente. Y no te quedes con la respuesta corta que aparece
en el primer resultado que encuentres. Investiga un poco.
Ahora que te estas acostumbrando a investigar las cosas, encuentra la verdad
sobre estos hechos aceptados:
1.5 La palabra Igl viene del idioma Inuit. Qu significa en realidad? Qu tipo de
interacciones usas para encontrar su significado?
1.6 Muchos padres afirman que el azcar vuelve hiperactivos a los nios pequeos.
Qu hay de verdad en eso? Qu interacciones se producen realmente en sus
tripitas cuando los nios comen muchos dulces o alimentos azucarados que les
incitan a hacer tonteras y ser hiperactivos?
1.7 Tambin habrs escuchado que el azcar agujerea los dientes (caries), pero
Cul es la interaccin real que tiene lugar? Qu causa en realidad la caries?Si
no es el azcar, entonces Qu es? Puntos extra si puedes explicar que cepillarse
los dientes es una interaccin para luchar con la causa real del problema, y
encuentras el nombre de al menos un producto qumico que ataca la raz del
problema (una pista: no es el Flor)

El proceso de cuatro puntos

Cuando unes los tres tipos de interacciones, tienes Porosidad, la base de un Ataque de
superficie. Tal y como indica la palabra, se trata de los poros o "agujeros" en las defensas
que necesitas tener para que puedan darse las interacciones necesarias (as como
cualquier otra posible interaccin desconocida o innecesaria que se produce). Por
ejemplo, una tienda sigue teniendo que poner los productos en estantes para que la
gente los pueda tocar, ponerlos en una cesta y comprarlos. Son las interacciones que se
necesitan para vender las cosas. Pero podran no ser conscientes de los empleados que
estn escondiendo material en el rea de carga y descarga, y eso es una interaccin
que no quieren.
La porosidad es algo que necesitas conocer para protegerte o atacar algn objetivo.
Pero no es suficiente para analizar algo para poder hackearlo. Para hacer esto, necesitas
conocer ms profundamente los tres tipos de interacciones que acabas de aprender.
Ese es otro pequeo secreto de OSSTMM y se llama Proceso de Cuatro Puntos(FPP o Four
Points Process). Este describe cuatro formas en las que estas interacciones se utilizan para
analizar algo tan profundamente como sea posible, y por analizar se entiende pasar
tiempo con ello para que podamos observarlo y ver qu hace.

12
Leccin 1: Ser un Hacker

El proceso Eco (Echo)

Hemos crecido descubriendo y aprendiendo cosas interactuando directamente con
ellas. Los nios pequeos pinchan con un palito una ardilla seca para ver si est muerta.
Esto se conoce como el Proceso de Eco. Es la forma ms simple e inmadura de anlisis. Al
igual que gritar en una cueva y escuchar la respuesta, el proceso de eco requiere lanzar
diferentes tipos de interacciones de acceso sobre un blanco y luego vigilar sus
reacciones para averiguar las formas en las que puedes interaccionar con l. El proceso
de eco es un proceso de verificacin de tipo causa y efecto.
Esto es una forma un tanto extraa de probar algo, porque a pesar de ser un test muy
rpido, no es muy preciso. Por ejemplo, cuando se utiliza el proceso de eco en pruebas
de seguridad, un objetivo que no responde se considera seguro. Sera lo mismo que no
tener Visibilidad. Pero tambin sabemos que slo porque algo no responda a un tipo
particular de interaccin, no tiene
que considerarse "seguro". Si esto
fuera cierto, los depredadores no
mataran a las zarigeyas cuando
estas se hacen las muertas y todo el
mundo estara a salvo de ataques
de osos con slo pasar miedo. Pero
eso no es cierto. Evitar la visibilidad
puede ayudar a sobrevivir a algunos
tipos de interacciones, pero desde
luego no a todos.
Por desgracia, la realidad es que la
mayora de las formas que utilizan las
personas para investigar las cosas en
su vida diaria se basan nicamente
en el proceso de eco. Pero se pierde
tanta informacin con este tipo de
anlisis unidimensionales que
deberamos agradecer que la
industria de la salud haya
evolucionado ms all del mtodo
de diagnstico Te duele si hago
esto?. Si los hospitales usaran el
proceso de eco para determinar la Figure 1.1: The Four Point Process
salud de una persona, en raras
ocasiones podran ayudar a la
gente. Pero mirndolo por el lado bueno, las estancias en las salas de espera seran muy,
muy cortas. Por eso algunos mdicos, muchos cientficos y especialmente los hackers
utilizan el Proceso de Cuatro Puntos para asegurarse de no perder nada.
El Proceso de Cuatro Puntos te hace mirar las interacciones de la siguiente manera:

1. Induccin (Induction): Qu podemos decir del objetivo a partir de su entorno?

Cmo se comporta en ese entorno? Si el objetivo no se ve influido por el entorno,
tambin es interesante.
2. Investigacin (Inquest): Qu seales (emanaciones) emite el objetivo? Investiga
cualquier rastro o indicador de esas emanaciones. Un sistema o proceso deja por lo
general una firma de sus interacciones con el entorno.

13
Leccin 1: Ser un Hacker

3. Interaccin (Interaction): Qu pasa cuando lo investigas? Este punto requiere hacer

test de eco, incluyendo las interacciones esperadas e inesperadas con el blanco,
para provocar respuestas.
4. Intervencin (Intervention): Cunto puedes forzarlo antes de romperlo? Interponte
entre el blanco y los recursos que necesita, como la electricidad, o entromtete en
sus interacciones con otros sistemas para saber cual es el rango en el que puede
seguir funcionando.
Volviendo a nuestro ejemplo del hospital... las cuatro fases del FPP seran parecidas a
estas:
1. La funcin de interaccin es el proceso de hecho en el cual el doctor examina a los
pacientes, habla con ellos, comprueba sus reflejos en codos y rodillas, y usa otras
herramientas del tipo Te duele si hago esto?
2. La investigacin, la cual consiste en leer emanaciones del paciente como el pulso, la
presin sangunea o las ondas cerebrales..
3. La intervencin sera alterar o excitar la homeostasis del paciente, su
comportamiento, rutinas o nivel de confort para ver que si desencadena algo malo.
4. Y finalmente la induccin, la cual examina el entorno, los lugares en que estuvo el
paciente antes de enfermar y cmo han podido afectarle. Cosas como qu ha
tocado, comido, bebido o respirado.

Ejercicio
1.8 Como has visto, el Proceso de Cuatro Puntos (FPP) te permite investigar en
profundidad las interacciones. Ahora prueba t: Explica cmo puedes utilizar el
Proceso de Cuatro Puntos para saber si un reloj funciona (y si lo hace
correctamente, dando la hora exacta)

Qu hackear
Cuando ests hackeando, debes establecer unas reglas mnimas. Necesitas el lenguaje y
los conceptos para saber que estas hackeando. El Alcance (Scope) o mbito de
aplicacin es un trmino que utilizamos para describir el posible total del entorno
operativo, y consiste en todas las interacciones que posee lo que vas a hackear.

Enriquece tu mente: Clases y Canales

En terminologa profesional (algo muy til para los hacker), el Alcance se compone de
tres Clases y se divide en cinco Canales:
Clases Canales

Seguridad Fsica Humano

14
Leccin 1: Ser un Hacker

(PHYSSEC) Fsico

Seguridad del espectro

Wireless
(SPECSEC)

Seguridad de las Telecomunicaciones

comunicaciones
(COMSEC) Redes de datos

No deberas preocuparte por las Clases, pero debes saber que son las etiquetas
oficiales usadas en la actualidad por las industrias de seguridad, gobierno y militar.
Las clases definen un rea de estudio, investigacin u operacin. As que si ests
buscando ms informacin sobre cualquier asunto, es bueno que sepas cmo lo
llaman los profesionales.
Los Canales son la terminologa comn para referirse a las formas en las que
interaccionas con los Activos. No es raro hackear un dispositivo usando el Proceso
de Cuatro Puntos sobre cada Canal. Si, puede parecer mucho trabajo, pero piensa
en lo emocionante que es descubrir una forma de hacerlo funcionar que no
aparece en el manual, o mejor incluso: que ni siquiera sabe el fabricante!

Un Activo puede ser cualquier cosa que tenga valor para su propietario. Puede tratarse
de una propiedad fsica como el oro, las personas, unos planos, un porttil, la tpica seal
telefnica en una frecuencia de 900MHz, el dinero, o bienes intelectuales como
informacin personal, una relacin, una marca, un proceso de negocios, contraseas o
algo que se dijo sobre la seal telefnica en los 900MHz.
Las Dependencias son aquellas cosas que estn fuera de la capacidad del propietario
de proporcionarlas de forma independiente. Por ejemplo, no muchos propietarios de
computadores generan su propia electricidad. Aunque no sea probable que alguien
vaya a cortarte el suministro elctrico, eso es algo que todava se encuentra dentro de tu
mbito de aplicacin.
El objetivo de la seguridad es la Separacin entre un activo y sus dependencias, y
cualquier amenaza para ellos.

Decimos que la seguridad es una funcin de separacin. Hay cuatro formas para
crear esa separacin:
Mover el activo y crear una barrera entre l y las amenazas.
Cambiar la amenaza a un estado inofensivo.
Destruir la amenaza.
Destruir el activo. (No se recomienda!).

15
Leccin 1: Ser un Hacker

As que cuando estamos hackeando, buscamos lugares donde las interacciones con el
objetivo sean posibles, y donde no lo son. Piensa en las puertas en un edificio. Algunas son
necesarias para los trabajadores, mientras que otras son necesarias para los clientes.
Algunas pueden ser necesarias para huir de un incendio. Y algunas pueden no ser
necesarias en absoluto.
Cada puerta, sin embargo, es un punto de interaccin, que ayuda tanto a las
operaciones necesarias como a las no deseadas (como el robo). Cuando llegamos a
escena como hackers, no lo hacemos sabiendo el motivo de todos estos puntos de
interaccin, por lo cual los analizamos empleando el Proceso de Cuatro Puntos.
Veamos el ejemplo de una persona que quiere estar completamente a salvo de los
rayos. La nica manera de hacer esto (mientras siga en La Tierra) es ir al interior de una
montaa, donde es completamente imposible que entre un rayo a travs de la tierra y
las rocas. Suponiendo que no tenga que salir de nuevo podemos decir que su seguridad
es absolutamente un 100%. Pero si comenzamos a taladrar agujeros en la montaa, el
rayo tendr un punto ms de acceso con cada agujero, y la porosidad aumenta. Por
eso, OSSTMM diferencia entre estar Seguro (Safe) de los rayos y estar Protegido
(Secure)de ellos. El hecho es que cuanta ms porosidad haya, es ms posible que un
hacker pueda realizar cambios y controlar lo que quiera.

Figure 1.2: Porosidad

16
Leccin 1: Ser un Hacker

17
Leccin 1: Ser un Hacker

Enriquece tu mente: Porosidad

A continuacin, presentamos algunos ejemplos para describir cmo encontrar los poros,
clasificarlos y determinarlos durante el proceso de hacking.

Trmino Definicin

Cuando la polica investiga un crimen, busca los medios, el motivo y la

oportunidad. Si un activo es visible, puede ser atacado, pero si no es
visible, no puede ser el objetivo (aunque podra ser descubierto). A
algunos profesionales de la seguridad les gusta decir que la ofuscacin es
Visibilidad una seguridad deficiente ya que no protege nada, slo lo oculta. Pero
(Visibility) eso no es algo malo sobre todo porque no siempre se necesita un
mecanismo de seguridad permanente. A tal efecto OSSTMM ofrece esta
pequea joya: "La Seguridad no tiene por qu durar para siempre, slo
durar ms que cualquier otra cosa antes que pueda darse cuenta de que
ha desaparecido"

El acceso es el nmero de lugares diferentes donde pueden producirse

interacciones en el exterior del mbito. Para un edificio podran ser las
Acceso
puertas de la calle o las ventanas, y para un servidor en Internet podra ser
(Access)
el nmero de puertos de red abiertos o servicios disponibles en ese
equipo.

La confianza es cuando una entidad acepta la libre interaccin con otra

entidad dentro de su mbito. Por eso que no pides a tu madre que se
identifique cuando viene a abrazarte. Tambin es la razn por la cual no
sospechas que haya envenenado tu comida. Aprendes a confiar en las
cosas dentro de tu mbito. Pero si un da es abducida por una raza
aliengena, la sustituyen (como en "La invasin de los ladrones de
cuerpos") y envenena tu comida, la comers sin sospechar nada. As que
la confianza es a la vez un agujero de seguridad y un reemplazo comn
para la autenticacin, es decir, la forma de comprobar si una persona es
Confianza quien creemos que es. La confianza es un tema extrao, porque es algo
(Trust) muy humano y muy valorado por la sociedad. Sin confianza, nunca
seramos capaces de interaccionar libremente. Pero debido a la
confianza, es fcil engaarnos, confundirnos, robarnos y mentirnos.
Investigaciones recientes sobre la confianza muestran que hay 10 razones
para confiar en alguien y si esas diez razones se ven satisfechas, entonces
podemos confiar en esa persona con seguridad y sin ningn tipo de
preocupacin. Pero esa misma investigacin muestra que la mayora de
las personas slo necesitan que se cumpla una razn para confiar, y que
los realmente paranoicos o cnicos se ven satisfechos con tan slo tres
razones.

Recursos
Buscar eficazmente y tener capacidad de aprendizaje son las habilidades
fundamentales de un hacker. El hacking, en realidad, es un proceso creativo que se basa

18
Leccin 1: Ser un Hacker

ms en un estilo de vida que en estudiar lecciones. No podemos ensearte todo lo que

necesitas saber, pero podemos ayudarte a reconocer lo que necesitas aprender. Debido
a que la ciencia avanza tan rpidamente, lo que nos ensean hoy puede no ser
relevante maana. Es mejor para ti adquirir las costumbres de estudio de un hacker, que
son probablemente la parte ms vital del hacking, y que te diferenciarn de los script
kiddies (un trmino hacker que deberas conocer, y que define a las personas que usan
herramientas sin saber realmente cmo o por qu funcionan).
Si te encuentras con una palabra o un concepto que no entiendes en esta leccin, es
esencial que la busques. Ignorar nuevos trminos slo har que te resulte ms difcil
entender conceptos en las prximas lecciones. Se te pedir que investigues un tema y se
espera que utilices la informacin que encontraste para completar los ejercicios de esa
leccin (pero en esas lecciones no se te explicar cmo hacer las investigaciones). As
que asegrate de dedicar tanto tiempo como necesites para investigar, de forma que
aprendas a usar los recursos que tienes disponibles.

Libros
Puede que te extrae que no te dirijamos directamente a Internet, pero los libros son la
mejor manera de aprender las bases y conocimientos cientficos de todo lo que quieres
explorar. Quieres saber algo sobre informtica, como los detalles del hardware de tu
PC? Nada te ayudar ms que leer un libro actual sobre el tema. El principal problema
de los libros sobre informtica es que se vuelven obsoletos rpidamente. El secreto es
aprender a ver la base estructural que se encuentra bajo la fina piel de los detalles. MS-
DOS y Windows son claramente diferentes, pero ambos se basan en los principios de la
lgica Booleana que utilizan los computadores desde que Ada, Condesa de Lovelace,
escribi el primer programa de ordenador en el siglo XIX. Los problemas de seguridad y
privacidad pueden haber cambiado en los ltimos 2.500 aos, pero el Arte de la Guerra
de Sun Tzu cubre principios fundamentales que todava se aplican hoy. (Por cierto, la
forma ms rpida de parecer un n00b es citar a Sun Tzu. Hay cosas que debes saber,
pero no decir. Y citar el Arte de la Guerra demuestra que no lo has ledo, ya que Sun Tzu
deca que hay que mantener tus conocimientos reales en secreto).
A pesar que la informacin que encuentres en los libros puede no estar tan actualizada
como la que viene de otras fuentes, te dars cuenta de que la informacin que veas en
ellos est mejor escrita que en muchas de las otras fuentes. A veces, tambin son ms
precisas. Es ms probable que un escritor que dedica un ao a escribir un libro
compruebe los hechos, que lo haga alguien que actualiza un blog seis veces al da. (Mira
la seccin sobre Zines y Blogs para ms informacin).
Pero recuerda: precisin no es equivalente a imparcialidad. Las fuentes de informacin
del autor pueden no ser objetivas. Los libros de historia los escriben los vencedores
(busca esta cita); esto tambin se aplica a la poltica, y reglas sociales de una poca
impiden que cierta informacin se publique. Esto ocurre habitualmente con los libros de
texto seleccionados mediante un proceso poltico y contienen slo la informacin que se
considera socialmente aceptable para aprender. No pienses que has encontrado una
regla de oro slo porque lo leste en un libro. Lo cierto es que cualquiera puede escribir un
libro, y cualquier libro puede contener cualquier versin de la verdad.

19
Leccin 1: Ser un Hacker

No mires un libro para luego abandonarlo, incluso antes de empezar a leerlo, porque
es muy grande. Nadie de los que veas sentados a tu alrededor lee esos enormes
libros de principio a fin. Piensa en ellos como en pginas web prehistricas. Abre uno
por una pgina al azar y empieza a leer. Si no entiendes algo, retrocede y busca la
explicacin (o sltatelo y avanza hasta algo que tenga sentido). Salta a travs del
libro, hacia atrs y hacia delante, tal y como lo haras saltando de un enlace a otro
en una pgina web. Esta forma de lectura no lineal es con frecuencia mucho ms
interesante y satisfactoria para los hackers, ya que se trata ms de satisfacer tu
curiosidad que de leer.

Finalmente, algo que adquieren los lectores de libros es la valiosa capacidad de escribir
bien. Esta es una gran ventaja cuando intentas participar y entender un nuevo campo.
Tambin hacen ms crebles las cosas que quieres contar a otros lectores, especialmente
a aquellos que ocupan puestos de autoridad.

Revistas y Peridicos
Las revistas y peridicos son muy tiles para obtener informacin de forma concisa y
puntual. Ambos tipos de publicacin pueden ser, sin embargo, muy escuetos en los
detalles. Adems ten en cuenta que cada peridico o revista tiene su propia audiencia y
una linea editorial o temtica, a pesar de cualquier anuncio sobre neutralidad e
imparcialidad. Conoce la temtica de la publicacin: una revista sobre Linux no es
precisamente una buena fuente de informacin sobre Microsoft Windows, dado que
Windows es un tema espinoso (un sistema operativo competidor), y sinceramente, el
lector de una revista sobre Linux quiere leer sobre la superioridad de Linux. Muchas de las
revistas especializadas utilizan cherry picking, una tcnica que destaca slo los aspectos
positivos de algo que encaja en la linea editorial de la revista, y destaca los aspectos
negativos de aquello que no lo hace.

Ten en cuenta los posibles sesgos de la publicacin. Ah es donde te dan opiniones

en lugar de hechos, o dejan a un lado los hechos de una historia para satisfacer sus
propias opiniones, de forma que no puedes formar tu propia opinin. Ten en cuenta
la fuente! Incluso los peridicos "neutrales" pueden estar llenos de prejuicios y
especulaciones, una bonita forma de decir "conjeturas", pero a menudo son
"elucubraciones" por parte del periodista.

Hay un importante movimiento en el campo mdico para que se publiquen todas las
pruebas mdicas y farmacuticas (o al menos todos los ensayos financiados con fondos
pblicos), incluso de aquellas que han resultado fallidas, de forma que los mdicos
puedan contar con ms informacin a la hora de aplicar tratamientos y tomar
decisiones. Mientras que en las revistas mdicas actuales publican los "hechos" de los
ensayos de investigacin, los detalles y las circunstancias detrs de esos hechos siguen
siendo turbia. Eso es muy importante cuando se tratan temas que dependen de causas
profundas. La causalidad requiere que la causa le preceda y es la razn del efecto.
Otro truco utilizado por las revistas (tanto de forma accidental como a propsito) son las
pruebas anecdticas, que son opiniones de personas publicadas como pruebas

20
Leccin 1: Ser un Hacker

independientemente de si son expertos o no; pruebas expertas, en las que se presentan

a empleados de la industria en cuestin como expertos para dar sus opiniones, o
personas que son expertos en un rea y dan su opinin en otra en la cual no tienen
experiencia; y finalmente, la especulacin, clasificando algo como cierto porque todo
el mundo cree que lo es, sin atribuirlo a nadie en particular.
La mejor manera de combatir los problemas de exactitud y temtica es leer mucho y
bien. Si lees algo interesante en una revista, busca ms sobre el tema. Toma partido por
una de las opiniones, y busca informacin que la confirme; luego, ponte del otro lado y
busca refutarla. Algunas culturas hacen esto por defecto. Es parte de sus costumbres
sociales buscar otra versin de la historia. Esto es un rasgo cultural muy importante,
especialmente si intentas garantizar el xito de una democracia.

Ejercicios
1.9 Busca en Internet tres revistas online que traten sobre Seguridad. Cmo
encontraste estas revistas?
1.10 Las tres revistas tratan especficamente sobre seguridad informtica? Que
otras cosas ofrecen que puedan resultar de ayuda en otros campos o negocios?

21
Leccin 1: Ser un Hacker

Enriquece tu mente: Especulacin

El siguiente prrafo es de un artculo sobre un robo publicado en un peridico.
Puedes encontrar la especulacin? Seala las frases de las que sospeches:

El banco Lake Meadow Bank and Mortgage Lender fue atracado el Martes a ltima hora cuando unos
pistoleros enmascarados entraron unos momentos antes de la hora del cierre, y retuvieron a los empleados como
rehenes durante una hora en lo que pareca ser un intento de fuga en un SUV ltimo modelo. Ninguno de los
rehenes fue herido.
Nadie pudo identificar a los atracadores, lo que hace pensar a la polica que poda tratarse de profesionales, ya
que momentos despus del robo, el coche fue visto tras el banco alejndose hacia el sur hacia los densos bosques
de Bluegreen Mountains. La polica busca a atracadores con experiencia, que puedan tener antecedentes
policiales y mantengan relaciones con personas que vivan en la zona.
Con una media de 57 atracos diarios a bancos entre esta zona y el condado de Bluegreen, y una poblacin
aproximndose a las 50.000 personas para el ao que viene, esto podra ser el comienzo de una oleada de atracos
a bancos en esta regin. Parece el comienzo de una moda declar el comisario de polica Smith.

A medida que nos volvemos ms insensibles a la especulacin y permanecemos

como ignorantes funcionales sobre la parcialidad de los datos y resultados
estadsticos, el futuro de la informacin pueden ser un nico periodista
especulando sobre las noticias conforme vayan ocurriendo. En el breve ejemplo
anterior slo hay un dato real: atracaron un banco el martes a ltima hora. Ahora,
para hacerlo an ms obvio, as estara redactada la noticia si modificamos todas
las especulaciones para hacerlas an ms ridculas:

El banco Righteous Bank and Mortgage Lender fue atracado el martes a ltima hora cuando lo que parecan
ser unos pollos enmascarados entraron momentos antes del cierre, lo que significa que podran haber retenido a
los empleados como rehenes durante una dcada antes de lo que pareca ser un intento de fuga en un globo
aerosttico. No se ha informado sobre si alguno de los rehenes fue emplumado.
Nadie pudo identificar a los pollos, lo que lleva a la polica a creer que deban contar con un profesional del
disfraz entre ellos, adems de un piloto de aerostatos, dado que instantes despus del robo se vio un globo
flotando sobre el banco, volando en direccin sur hacia las tundras de la Antrtida. La polica se encuentra,
posiblemente, buscando a expertos maquilladores que tengan vnculos con los aficionados a los globos.
Con una media de 57 atracos en bancos cada da en el pas, y la industria de globos aerostticos informando de
que sus ventas podran alcanzar los 47 muchimillones de dlares en un futuro prximo, esto podra ser el
comienzo de una oleada de robos usando globos. Parece el comienzo de una moda dijo el comisario de polica
Gordon.

Con el abrumador uso de la especulacin y estadsticas en todas los sectores, no es

de extraar que haya entrado en la industria de la seguridad con tanta fuerza. El
trmino usado comnmente para esto es FUD, siglas de Fear, Uncertainty, and
Doubt (Miedo, Incertidumbre y Duda). Es la forma de utilizar la especulacin y los
anlisis subjetivos de riesgo para llamar la atencin sobre los intereses propios y
vender soluciones de seguridad. Desafortunadamente, funciona muy bien con los
sentimientos primitivos de paranoia de la psique humana y genera un aumento de
la insensibilidad a la especulacin. Esto ha dado lugar a soluciones de seguridad
inadecuadas, aplicadas de forma inapropiada, controles reactivos de seguridad y
una falsa sensacin de confianza en las autoridades. Es evidente que existe una
falta de habilidades en pensamiento crtico en la poblacin, y esto es algo
explotado tanto por el sector comercial como por los delincuentes.

22
Leccin 1: Ser un Hacker

Motores de bsqueda
Google es un motor de bsqueda muy conocido, pero no es el nico que existe. Bing es
muy bueno con preguntas sencillas, y Yahoo lo es para hacer investigaciones
exhaustivas. Pero ten en cuenta que todos estos servicios web quieren saberlo todo
acerca de ti, y probablemente saben ms de lo que deberan. Guardan tus resultados y
los sitios visitas despus de tus bsquedas.

Hay motores como AltaVista y DuckDuckGo.com que pueden proporcionarte algo

(o mucho) de anonimato, lo cual puede ser bueno cuando buscas en los rincones
oscuros.

Los sitios web se pueden consultar mientras estn en linea y normalmente mucho tiempo
despus de eso. Normalmente, se conservan en forma de pginas cacheadas. Una
cach de Internet es un registro online de las versiones anteriores de un sitio web, o
incluso de sitios web que ya no existen. Los motores de bsqueda y los sitios de archivo
almacenan esa informacin indefinidamente, lo que en terminologa de Internet significa
para siempre. Es muy importante recordarlo incluso antes de que pongas algo en
Internet: no va a desaparecer. Nunca. Puede que tengas que buscarlo en un link a la
copia en cach de una pgina. Google, por ejemplo, sola poner un enlace llamado
Cach junto al link del resultado. Esto ha cambiado a un men flotante a la derecha, y
puede haber cambiado otra vez cuando leas esto.
Adems de los motores de bsqueda, tambin existen cachs pblicas muy tiles en
sitios como Internet Archive (http://www.archive.org). Puedes encontrar versiones
cacheadas de sitios web completos a travs de los aos, lo cual puede ser muy til para
encontrar informacin que ha desaparecido.
Una ltimo detalle sobre los sitios web: no asumas que puedes confiar en un sitio web slo
porque aparezca en un motor de bsqueda. Muchos de los ataques de hackers y virus se
propagan con slo visitar un sitio web, descargar programas de aspecto inocente,
protectores de pantalla o archivos compartidos. Puedes protegerte no descargando
programas desde sitios web no confiables, y asegurndote de que tu navegador se
ejecuta en un entorno limitado (sandbox). Pero esto puede no ser suficiente. Un
navegador es una ventana a Internet y como una ventana, pueden entrar flotando
cosas malas tan slo porque est abierta. A veces ni siquiera lo sabremos hasta que sea
demasiado tarde.

Ejercicios
1.11 Hay muchos motores de bsqueda ah fuera. Algunos son buenos para consultar
la Web Invisible, reas de Internet que son difciles de rastrear para muchos
motores de bsqueda, como ciertas bases de datos privadas. Un buen
investigador saber cmo usarlos todos. Algunos sitios web se especializan en el
seguimiento de motores de bsqueda. As que encuentra cinco motores de
bsqueda que no hayas utilizado o de los que no hayas odo hablar antes.
1.12 Tambin hay motores de bsqueda que buscan otros motores de bsqueda. Se
llaman meta search engines. Encuentra uno de esos meta search engines.

23
Leccin 1: Ser un Hacker

1.13 Busca seguridad y hacking (incluyendo las comillas) y anota los tres primeros
resultados. Cunto difieren los resultados si NO usas comillas?
1.14 Es muy distinto buscar sobre un tema a buscar una palabra o frase. En el ejercicio
anterior buscaste una frase. Ahora buscaremos una idea.
Para hacer esto, piensa en frases que puedan estar en la pgina que ests
buscando. Si quieres que el motor de bsqueda te devuelva una lista de revistas
online sobre hacking, no irs muy lejos si buscas una lista de revistas online sobre
hacking. No hay muchas pginas web que contengan esa frase! Podrs
obtener algunos resultados, pero no demasiados.
En lugar de eso, necesitas pensar: si yo estuviera creando una revista sobre
hacking, cual sera una frase tpica que pondra en la revista? Pon las siguientes
palabras y frases en un motor de bsquedas y encuentra cual te proporciona los
mejores resultados para tu bsqueda:
1. mi lista de revistas favoritas sobre hacking
2. lista de revistas profesionales sobre hacking
3. recursos para hackers
4. revista de hacking
5. revistas hacking seguridad lista recursos
1.15 Busca el sitio web ms antiguo de Mozilla en Internet Archive. Para hacerlo,
necesitas buscar www.mozilla.org en http://www.archive.org
1.16 Ahora vamos a unir las cosas. Digamos que quieres descargar la versin 1 de
navegador Netscape. Utilizando motores de bsqueda y Internet Archive, mira
si puedes localizar y descargar la versin 1.

Pginas web y Aplicaciones web

El estndar de facto actual para compartir informacin es a travs de un navegador
web. A pesar de clasificar todo lo que vemos como la web, ms y ms cosas de las que
utilizamos son en realidad aplicaciones web, dado que no todo en la web es un sitio
web. Si compruebas tu correo usando un navegador web, o compras msica a travs de
un servicio web, ests utilizando una aplicacin web.
Algunas veces las aplicaciones web requieren privilegios. Esto significa que necesitas un
login y un password para acceder. Tener acceso cuando tienes derecho legal a entrar se
llama tener privilegios. Hackear un sitio web puede significar que tengas acceso, pero
como no tienes derecho a estar ah, no tienes un acceso privilegiado. Conforme vayas
utilizando la web, encontrars muchos sitios que te otorgan acceso a reas privilegiadas
por accidente.
Cuando encuentras algo as, es una buena costumbre avisar al administrador del sitio
web. Sin embargo, ten cuidado con las posibles consecuencias legales.
Desgraciadamente, muchos administradores fruncen el ceo cuando reciben un informe
de vulnerabilidades que no han solicitado.

24
Leccin 1: Ser un Hacker

Para contribuir a hacer de Internet un lugar ms seguro mientras te proteges a ti

mismo, deberas pensar en utilizar un servicio anonimizador (por ejemplo: Tor,
remailers annimos, etc...) para enviar informes de vulnerabilidades a estos
administradores. Pero ten cuidado: todas esas tecnologas anonimizadoras tienen su
punto dbil y puede que no seas tan annimo como crees! (Ms de un hacker lo ha
aprendido por la va dura)

Ejercicios
1.17 Utiliza un motor de bsqueda para encontrar sitios que han cometido el error de
dar acceso privilegiado a todo el mundo. Para hacer esto, buscaremos carpetas
que nos dejen listar el contenido (un directory listing), algo que en condiciones
normales no debera estar permitido. Para esto, usaremos algunos trucos con los
comandos de Google en http://www.google.com. Escribe esto en la caja de
bsqueda:
allintitle:"index of" .js
Examina los resultados y deberas encontrar alguno que parezca un volcado de
directorio (directory listing). A este tipo de bsquedas se le denomina Google
Hacking
1.18 Puedes encontrar otra clase de documentos usando esta tcnica? Encuentra
tres directory listing ms que contengan archivos .doc files, y .avi.
1.19 Existen otras opciones de bsqueda similares a allintitle:? Cmo puedes
encontrarlas?

Zines
Los Zines, tambin llamados e-zines, son los descendientes de los fanzines: revistas
pequeas, generalmente gratuitas con una tirada muy reducida (menos de 10.000
lectores) y frecuentemente producidas por periodistas aficionados y amateurs. Los
fanzines se impriman en papel. Los zines en Internet, como el famoso 2600 o Phrack web
zine, estn escritos por voluntarios; esto implica que, con frecuencia, los editores no
editan los artculos buscando errores no tcnicos. Algunas veces, el duro lenguaje que
emplean puede sorprender a aquellos que no estn familiarizados con este gnero.

Los zines tienen una temtica o linea editorial bastante contundente, y tienden a ser
bastante parciales. Sin embargo, tambin son ms propensos a mostrar y discutir
ambos lados del problema, ya que no tienen que preocuparse por complacer a sus
anunciantes y suscriptores.

Ejercicios
1.20 Busca en Internet tres zines sobre hacking. Cmo los encontraste?
1.21 Por qu clasificas esos resultados como zines? Recuerda, slo porque se
etiquetan como zine o ponen zine en el ttulo no significa que lo sean.

25
Leccin 1: Ser un Hacker

Blogs
Podemos considerar a los blog cmo una evolucin de los zines, y cuentan con una
plantilla de escritores de una persona. Los blogs se actualizan con ms frecuencia que la
mayora de publicaciones escritas o los zines, y crean comunidades alrededor de temas
de inters. Es importante leer tanto los comentarios cmo los artculos. Incluso ms que en
el caso de los zines, en los blogs las respuestas son inmediatas y bastante posicionadas,
con comentarios de ambos bandos. Esto es uno de sus valores especiales.

Aunque hay millones de blogs en Internet, slo un pequeo porcentaje de ellos

siguen activos. La informacin contenida en la mayora de ellos, sin embargo, sigue
disponible.

Ejercicios
1.22 Busca en Internet tres blogs que traten sobre hacking.
1.23 Con qu grupos o comunidades estn asociados?
1.24 Hay temas de seguridad, legalidad o acadmicos en el blog?

Foros y Listas de correo

Los foros y listas de correo son medios de comunicacin desarrollados por comunidades,
muy parecidos a grabar las conversaciones en una fiesta. Se escptico acerca de todo
lo que leas ah. Las conversaciones cambian de tema con frecuencia, muchas de las
cosas que se dicen son rumores, hay trolling, surgen flame wars, y, cuando la fiesta se
termina, nadie est seguro de quin dijo qu. Los foros y listas de correo son similares,
porque hay muchas formas de contribuir con informacin incorrecta (a veces de forma
intencionada) y se puede participar annimamente o suplantando a alguien. Como los
asuntos y temas cambian rpidamente, para conseguir toda la informacin es
importante leer el hilo completo de comentarios, y no slo unos pocos de los primeros.
Puedes encontrar foros sobre casi cualquier tema, y muchas revistas y peridicos online
ofrecen foros para que sus lectores escriban rplicas a los artculos que publican. Debido
a esto, los foros tienen un valor incalculable para conseguir ms de una opinin sobre un
artculo: no importa lo mucho que le gustase a una persona, con total seguridad habr
alguien a quien no.

Hay muchas listas de correo sobre temas especficos, pero pueden ser difciles de
encontrar. A veces, la mejor tcnica es buscar informacin sobre un tema en
particular para localizar una comunidad de listas de correo que traten sobre l.

Cmo hacker, lo ms importante que debes conocer es que no se puede buscar en

muchos foros y listas de correo usando los motores de bsqueda ms importantes.
Mientras que es posible encontrar un foro o lista utilizando un buscador, puede que no
encuentres informacin sobre mensajes individuales. Esta informacin es parte de la web

26
Leccin 1: Ser un Hacker

invisible porque contienen datos que slo pueden buscarse directamente en el sitio web
o foro.

Ejercicios
1.25 Encuentra dos foros de hackers. Cmo encontraste esos foros?

Puedes determinar los temas o asuntos en que se especializan estos sitios web?
Los asuntos del foro reflejan la temtica del sitio web que los aloja?
1.26 Encuentra dos listas de correo sobre hacking o seguridad.
Quin es el propietario (owner) de esas listas? Puedes ver la lista de miembros?
(Es posible que tengas que averiguar qu aplicacin web se ha empleado en la
lista, y buscar en la web los comandos ocultos que te permiten ver la lista de
miembros de esa clase de lista de correos)
En qu listas esperaras que la informacin fuera ms objetiva y menos sesgada?
Por qu?

Grupos de noticias
Los Newsgroups o Grupos de noticias llevan mucho tiempo entre nosotros. Haba grupos
de noticias incluso antes de que existiera la web. Google compr el archivo completo de
grupos de noticias y lo puso online en http://groups.google.com. Los grupos de noticias
son como listas de correo... pero sin el correo. La gente escriba all directamente, tal y
como lo haran comentando en un sitio web. Encontrars mensajes desde principios de
los 90 en adelante.

Igual que en los archivos web (the web archives), los grupos de noticias pueden ser
importantes para encontrar quien tuvo originalmente una idea o quien cre un
producto. Tambin son tiles para encontrar esa informacin oculta que nunca
apareci en una pgina web.

Los grupos de noticias no son menos utilizados hoy en da de lo que se usaban aos atrs,
antes de que la web se convirtiera en la fuente principal para intercambiar informacin.
Sin embargo, tampoco han crecido ya que su popularidad se ha reemplazado por
nuevos servicios web como blogs y foros.

Ejercicios
1.27 Usando Google's groups, encuentra el grupo de noticias sobre hacking ms
antiguo que puedas.
1.28 Encuentra otras formas de usar los grupos de noticias. Hay aplicaciones que
puedas utilizan para leer los Newsgroups?
1.29 Cuantos grupos de noticias puedes encontrar que traten sobre hacking?
1.30 Puedes encontrar una lista actualizada sobre todos los diferentes grupos de
noticias que existen en la actualidad?

27
Leccin 1: Ser un Hacker

Wikis
Los Wikis son el fenmeno ms reciente en Internet. Wikipedia (www.wikipedia.org) es
probablemente el ms famoso, pero hay muchos otros. Como muchos otros sitios, los wikis
los construyen las comunidades. Los informes afirman con frecuencia que los wikis no son
precisos porque han contribuido amateurs y fanticos. Pero esto tambin es cierto en los
libros, listas de correo, revistas y todo lo dems. Lo que es importante es saber que los
expertos no son la nica fuente de ideas geniales e informacin objetiva. Como seala
OSSTMM, los hechos vienen de los pequeos pasos que damos al comprobar las ideas, y
no de grandes avances en los descubrimientos. Por eso los wikis son grandes fuentes de
ideas amateurs y profesionales que poco a poco, progresivamente, se verifican entre
ellas.

Los wikis tambin suelen hablar sobre las mltiples facetas de un tema y te permiten
seguir como se refuta, refina y cambia la informacin a travs de una lista de
ediciones. Por tanto son grandes lugares en los que buscar informacin, pero con
frecuencia tendrs que ir al sitio web del wiki para ejecutar las bsquedas.

Ejercicios
1.31 Busca Ada Lovelace." Encuentras resultados de wikis?
1.32 Ve a la Wikipedia y repite esta bsqueda. Dale un vistazo al artculo que
encontrars sobre ella. Estaba incluido en la lista de resultados de tu bsqueda?
1.33 Comprueba las ediciones de esa pgina de la Wikipedia, y busca que clase de
cosas se han cambiado y corregido. Qu clase de cosas han cambiado? Hay
algo que se haya cambiado y luego devuelto a su estado anterior? Ahora elige
una estrella de cine o cantante famoso, ve a esa pgina en Wikipedia y
comprueba las ediciones Puedes ver la diferencia?
1.34 Encuentra otra wiki y haz la misma bsqueda. Alguno de los resultados que
aparecen estaban en la primera bsqueda con el motor web?

Redes sociales
Usas alguna red social? O ms de una? Como hacker ests bien informado de los sitios
ms populares del momento. Y que hay de esos que no son populares como eran
antes? Todava existen, y todos los datos siguen disponibles en la mayora de los casos.

Esto significa que existen un gran repositorio de informacin sobre nosotros, mucha
de la cual se ha proporcionado libremente, Y permanecer all para siempre.

Las redes sociales, con frecuencia, tienen subgrupos o comunidades con intereses
comunes. Los sitios con una temtica profesional cuentan frecuentemente con grupos de
ciberseguridad, y en los sitios de temtica underground existen habitualmente grupos
de hackers. En los sitios profesionales se espera (todos los dems tambin) que uses tu
nombre real. En los sitios de hackers, no tanto.

28
Leccin 1: Ser un Hacker

Y lo ms importante de todo: usas tu nombre real en los medios sociales, o usas un alias?
Hay alguna forma de que tu alias sea trazado hasta tu nombre real? Mucha gente no se
da cuenta de eso cuando utilizan alias, pero no es raro que publiquen accidentalmente
o a propsito su nombre real, direccin, ciudad, escuela, empleo y cosas parecidas
cuando usan su alias. Si otro hacker te hace un DoX desde tu alias, entonces puede
darse cuenta rpidamente de quien eres precisamente por esos pequeos y estpidos
errores. Si usas un alias para permanecer annimo ante quien no conoces, asegrate que
continas as. Y NUNCA te equivoques de alias si tienes ms de uno.

Ejercicios
1.35 Bscate a ti mismo. Obtienes algunos resultados tuyos (que sean realmente
tuyos)? Alguno de esos vienen de redes sociales?
1.36 Ve a una red social que utilices. No hagas login, pero repite la bsqueda como si
no estuvieras registrado. Cunto puedes encontrar acerca de ti?
1.37 Ve a una red social que utilice un amigo. De nuevo, no te registres si tienes una
cuenta. Busca a tu amigo. Cunto puedes averiguar acerca de l?

Chat
El Chat, se presenta como Internet Relay Chat (IRC) e Mensajera instantnea (IM), es una
forma muy popular de comunicarse.

Como medio de bsqueda, el chat es extremadamente inconsistente porque ests

tratando con individuos en tiempo real. Algunos pueden ser amistosos y otros
bastante groseros. Algunos sern bromistas inofensivos, pero otros sern mentirosos
malintencionados. Algunos sern inteligentes y querrn compartir informacin, y
otros estarn completamente desinformados, pero no menos deseosos de compartir.
Puede ser difcil saber quin es quien.

Sin embargo, una vez que te sientas cmodo con ciertos grupos y canales, puedes ser
aceptado en la comunidad. Se te permitir hacer ms y ms preguntas, y aprenders en
quien puedes confiar. Llegado el momento, tendrs acceso a los exploits ms recientes
(los llamados zero day, que significa que se acaban de descubrir) y profundizar en tus
propios conocimientos.

Ejercicios
1.38 Encuentra tres programas de mensajera instantnea. Qu los hace diferentes ?
Pueden utilizarse para hablar uno con otros?
1.39 Busca lo que es un IRC, y cmo puedes conectarte a l. Puedes encontrar que
red tiene el canal de ISECOM? Una vez que te unas a la red, Cmo puedes
conectarte al canal isecom-discuss?
1.40 Cmo sabes que canales existen en una red de IRC? Encuentra tres canales de
seguridad, y tres canales de hacking. Puedes entrar en esos canales? Hay
gente hablando en ellos, o son bots?

P2P

29
Leccin 1: Ser un Hacker

Peer to Peer, tambin llamado P2P, es una red dentro de Internet. A diferencia de las
redes habituales cliente-servidor, donde cada computador se comunica a travs de un
servidor central, los computadores en redes P2P se comunican directamente unos con
otros. Muchas personas asocian el P2P a descargar MP3 y pelculas pirateadas, como
con el infame Napster, pero hay muchas otras redes P2P (todas con el propsito de
intercambiar informacin y como medio de realizar investigaciones sobre el intercambio
de informacin distribuida)
El problema de las redes P2P es que, mientras que puedes encontrar casi cualquier cosa
en ellas, algunas estn en las redes ilegalmente. Otras cosas estn all legalmente pero
las compaas que las crearon piensan que no deberan estar, y son felices demandando
por dinero al propietario de cualquier portal de Internet de donde es descargado

Por el momento, no hay mucho consenso sobre si el propietario del

acceso a Internet que se ha usado para descargar contenidos es
responsable, o si la polica debera buscar a la persona que lo hizo. Esto es
como decir que si tu coche se ha utilizado para cometer un crimen, es el
propietario de coche y no el conductor quien debe ir a la crcel. Las leyes
de Internet actuales no son justas y equitativas, as que se
extremadamente cuidadoso.

Seas o no el tipo de persona que se arriesga descargando propiedad intelectual, no hay

duda que las redes P2P pueden ser un recurso vital para encontrar informacin.
Recuerda: no hay nada ilegal en una red P2P (hay muchos ficheros disponibles para ser
distribuidos libremente bajo una gran variedad de licencias) pero tambin hay archivos
en esas redes que no deberan estar all. No tengas miedo a usar redes P2P, pero se
consciente de los peligros, y de lo que te ests descargando.

Ejercicios
1.41 Cules son las tres redes ms populares y utilizadas en P2P? cmo funciona
cada una de ellas? Qu programa necesitas usar?
1.42 Investiga el protocolo de una de esas redes P2P. Qu hace, y cmo consigue
descargar ms rpido?
1.43 Busca Descargar Linux.Puedes descargarte una distribucin (o distro) de Linux
usando P2P?

Certificaciones
Hay certificaciones OSSTMM para Security Tester y Security Analyst, distintas variantes de
certificaciones hacker, certificaciones basadas en alguna versin debuenas
prcticas y otros certificados con toda clase de iniciales o smbolos extraos.

Por qu preocupate por las certificaciones? Pues debido a que puedes obtener
algunas de ellas a cualquier edad, ya que no es necesario tener un ttulo universitario
para conseguirlas, y porque puede ponerte en la posicin de persona codiciada, en
lugar de ser una persona que solicita un puesto.

30
Leccin 1: Ser un Hacker

El problema de las certificaciones basadas en buenas prcticas es que estas cambian

a menudo, debido a que buenas prcticas no es ms que otra forma de decir lo que
est haciendo todo el mundo ahora. Y con frecuencia lo que hacen los dems durante
esta semana es incorrecto, y lo seguir siendo cuando se actualice la semana siguiente.
Luego tenemos las certificaciones basadas en la investigacin, que se centran en
investigaciones vlidas y reproducibles del comportamiento de humanos y sistemas. No
hace falta decir que nuestra organizacin matriz, ISECOM, entra de lleno en el campo de
las autoridades de certificacin basadas en la investigacin. Ya sea de ISECOM o
cualquier otra, busca certificaciones basadas habilidades, anlisis o conocimientos
aplicados que te permitan demostrar que puedes aplicar lo que dices haber aprendido.
Te resultar muy til cuando tengas que hacerlo.

Seminarios y jornadas
Acudir a seminarios es una buena forma de escuchar en detalle las explicaciones sobre
la teora, y ver las tcnicas puestas en prctica. Incluso es interesante asistir a seminarios
que presentan un producto y muestran cmo debe utilizarse, siempre y cuando tengas
en cuenta que el evento es marketing y su finalidad es venderlo.
Por nuestra parte, seramos negligentes si no mencionramos que podemos ofrecer
seminarios de Hacker Highschool en muchos lugares, y que podemos tratar cualquiera de
las lecciones disponibles. Los seminarios consisten en hackers profesionales hablando a los
estudiantes sobre hacking y cmo ser un hacker, tanto bueno como malo. Estos
seminarios dan una visin profunda sobre lo que son los hackers reales desde la
perspectiva del Hacker Profiling Project, un proyecto de colaboracin con Naciones
Unidas que investiga quienes son los hackers y porqu hackean. Entonces podrs
descubrir el lado positivo del hacking y cmo no siempre est en el Lado oscuro.
Una de las cosas ms importantes en las que podemos ayudarte es a encontrar los
medios para ser intelectualmente curioso e ingenioso como un hacker. Los hackers
triunfan en lo que hacen porque saben cmo aprender, ir ms all del contenido de las
lecciones disponibles y aprender las habilidades que necesitan para avanzar.
As que eres bienvenido si dices a tus padres y profesores que quieres ayudar y crear una
delegacin de Hacker Highschool en tu colegio. Contacta con ISECOM para obtener
ms informacin.

31
Leccin 1: Ser un Hacker

Lecturas adicionales
Ahora deberas practicar hasta que seas un maestro de las bsquedas. Cuanto mejor lo
hagas, ms rpidamente encontrars la informacin y aprenders ms rpido. Pero
desarrolla tambin un ojo crtico. No toda la informacin es cierta.

Recuerda que siempre debes preguntarte: Por qu mienten? Hay dinero de por
medio al ser deshonesto o perpetuar un rumor o una historia? De dnde vienen los
hechos? Y lo ms importante, Cul es el alcance?

Al igual que en el hacking, la investigacin incluye un mbito de aplicacin. Eso es muy

importante cuando ves las estadsticas (las matemticas que usan porcentajes, fracciones y
probabilidades). As que mira siempre donde se llev a cabo el mbito de aplicacin y
reconoce que mbito tienes que aplicar. (Un ejemplo comn para ver esto es la
delincuencia nacional o las estadsticas de salud, tomadas de una pequea muestra en una
sola parte del pas. Slo porque algo afecta al 10% de las personas de los 200 estudiados en
una sola ciudad, no significa que el 10% de la nacin entera tenga ese mismo problema ) As
que seinteligente acerca de cmo leer la informacin y de la forma de encontrarla.
Entender el alcance de la informacin siempre es una gran diferencia!

Para ayudarte a convertirte en un mejor investigador para el programa Hacker High School,
aqu hay algunos temas adicionales y unos trminos para que puedas investigar:

Meta Search
The Invisible Web
Google Hacking
How Search Engines Work
The Open Source Search Engine
The Jargon File
OSSTMM
ISECOM Certifications:
OPST (OSSTMM Professional Security Tester)
OPSA (OSSTMM Professional Security Analyst)
OPSE (OSSTMM Professional Security Expert)
OWSE (OSSTMM Wireless Security Expert)
CTA (Certified Trust Analyst)
SAI (Security Awareness Instructor)

32